Hvilke opgaver påhviler den dataansvarlige og databehandleren for at sikre et passende sikkerhedsniveau?

Et sikkert samarbejde: Dataansvarliges og databehandleres ansvar for datasikkerhed

I en tid præget af digitalisering og stigende mængder data er det afgørende, at både dataansvarlige og databehandlere forstår og lever op til deres respektive forpligtelser for at sikre et passende sikkerhedsniveau. At dele ansvaret er ikke blot et juridisk krav, men en nødvendighed for at beskytte personoplysninger og opretholde tillid. En mangelfuld sikkerhedsprofil kan have alvorlige konsekvenser, både økonomisk og omdømmemæssigt.

Dataansvarliges centrale opgaver:

Dataansvarligens rolle er central. De er den drivende kraft bag databehandlingen og bærer det overordnede ansvar for at sikre, at denne behandling overholder gældende lovgivning, herunder GDPR. Dette ansvar er ikke blot begrænset til interne processer. Dataansvarliges opgaver omfatter:

• Etablering af et solidt juridisk grundlag: Før data indsamles og behandles, skal der være et klart og lovligt grundlag. Dette kan være samtykke, kontraktlig forpligtelse, retslig forpligtelse eller en legitim interesse. Dette grundlag skal være transparent og dokumenteret.
• Udpegning af databehandlere og nøje aftaleindgåelse: Ved brug af databehandlere skal der indgås en skriftlig aftale, der præcist definerer opgaverne, databehandlerens ansvar og de nødvendige sikkerhedsforanstaltninger. Denne aftale skal klart specificere databehandlerens rettigheder og forpligtelser, herunder rettighederne til underdatabehandling.
• Kontrol og overvågning af databehandlere: Dataansvarlige er ikke blot ansvarlige for at vælge en passende databehandler, men også for at overvåge, at databehandleren lever op til de aftalte betingelser og implementerede sikkerhedsforanstaltninger. Dette inkluderer regelmæssig kontrol og audits.
• Implementering af en risikovurdering og passende sikkerhedsforanstaltninger: Dataansvarlige skal foretage en risikovurdering for at identificere potentialer for sikkerhedshuller og datalækager. Baseret på denne risikovurdering skal der implementeres passende tekniske og organisatoriske sikkerhedsforanstaltninger, der afspejler risikoens størrelse. Dette omfatter alt fra adgangskontrol og kryptering til backup-løsninger og incidentrådgivning.
• Dokumentation af processer og sikkerhedsforanstaltninger: En robust dokumentation af alle processer og implementerede sikkerhedsforanstaltninger er afgørende både for at vise overholdelse af lovgivningen og for at forbedre og opdatere sikkerheden.

Databehandlerens nøgleopgaver:

Databehandleren behandler data på vegne af dataansvarlig. Deres ansvar er fokuseret på at sikre datasikkerhed og overholdelse af de instrukser, der modtages fra dataansvarlig:

• Overholdelse af dataansvarliges instrukser: Databehandleren skal strengt følge de instrukser, der er givet af dataansvarlig. Enhver afvigelse skal være klart dokumenteret og begrundet.
• Implementering af passende sikkerhedsforanstaltninger: Databehandleren skal implementere tekniske og organisatoriske sikkerhedsforanstaltninger, der beskytter personoplysninger mod uautoriseret adgang, ændring, tab eller ødelæggelse. Dette inkluderer bl.a. kryptering, adgangskontrol, sikkerhedskopiering og incidenthåndtering.
• Medvirken til dataansvarliges opfyldelse af ansvar: Databehandleren skal bistå dataansvarlig i opfyldelsen af deres forpligtelser i forhold til persondataregler, f.eks. ved at medvirke til at besvare forespørgsler fra registrerede.
• Underdatabehandlere: Hvis databehandleren selv anvender underdatabehandlere, skal de indgå en aftale, der sikrer overholdelse af de samme sikkerhedskrav og databehandlingsregler.
• Rapportering af sikkerhedshændelser: I tilfælde af et sikkerhedbrud, skal databehandleren omgående underrette dataansvarlig og medvirke i håndteringen af hændelsen.

Et effektivt samarbejde mellem dataansvarlig og databehandler er altafgørende for at opretholde et passende sikkerhedsniveau. Et tæt og åbent samarbejde, præget af gensidig tillid og klar kommunikation, er nøglen til at beskytte personoplysninger og overholde gældende lovgivning.